Antes de poder começar a criar, modificar ou gerir autorizações e concessões do Gestor de acesso privilegiado, os seus principais têm de ter as autorizações adequadas. O serviço também tem de ser configurado ao nível da organização, da pasta ou do projeto.
Os principais que pedem concessões e aprovam ou recusam as concessões não precisam de autorizações específicas do Gestor de acesso privilegiado.
Antes de começar
Certifique-se de que tem as autorizações de gestão de identidade e de acesso (IAM) necessárias para configurar e gerir as autorizações do Privileged Access Manager.
Para receber as autorizações de que precisa para trabalhar com direitos e concessões, peça ao seu administrador que lhe conceda as seguintes funções da IAM na organização, na pasta ou no projeto:
-
Para criar, atualizar e eliminar autorizações para uma organização:
Administrador do Gestor de acesso privilegiado (
roles/privilegedaccessmanager.admin) e Administrador de segurança (roles/iam.securityAdmin) -
Para criar, atualizar e eliminar autorizações para uma pasta:
Administrador do Gestor de acesso privilegiado e Administrador do IAM da pasta (
roles/resourcemanager.folderAdmin) -
Para criar, atualizar e eliminar autorizações para um projeto:
Administrador do Gestor de acesso privilegiado e Administrador do IAM do projeto (
roles/resourcemanager.projectIamAdmin) -
Para ver as autorizações e as concessões:
Leitor do Gestor de acesso privilegiado (
roles/privilegedaccessmanager.viewer) -
Para ver registos de auditoria:
Visualizador de registos (
roles/logs.viewer)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Estas funções predefinidas contêm as autorizações necessárias para trabalhar com direitos e concessões. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para trabalhar com direitos e concessões:
-
Para ativar o Gestor de acesso privilegiado ao nível da organização:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
Para gerir direitos e concessões de uma organização:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver as elegibilidades e as concessões de uma organização:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ativar o Gestor de acesso privilegiado ao nível da pasta:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
Para gerir os direitos e as concessões de uma pasta:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver as autorizações e as concessões de uma pasta:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ativar o Privileged Access Manager ao nível do projeto:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
Para gerir direitos e concessões de um projeto:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver as autorizações e as concessões de um projeto:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver registos de auditoria:
logging.logEntries.list
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Ative o Gestor de acesso privilegiado
Para ativar o Gestor de acesso privilegiado, tem de conceder a função de agente de serviço do Gestor de acesso privilegiado ao agente de serviço do Gestor de acesso privilegiado para a sua organização, pasta ou projeto.
Para conceder esta função ao agente do serviço, faça o seguinte:
Aceda à página Gestor de acesso privilegiado.
Selecione a organização, a pasta ou o projeto para o qual quer ativar o Privileged Access Manager.
Clique em Configurar PAM para iniciar o processo de configuração.
Para conceder acesso à função Agente do serviço Privileged Access Manager ao agente do serviço Privileged Access Manager para gerir as escaladas de privilégios, clique em Conceder função.
Certifique-se de que o agente de serviço do gestor de acesso privilegiado é adicionado aos seguintes controlos de segurança:
Políticas de recusa: adicione o agente do serviço Privileged Access Manager ao campo
exceptionPrincipalsdas suas políticas.VPC Service Controls: adicione o agente de serviço do Privileged Access Manager aos níveis de acesso adequados ou adicione uma regra de entrada ao perímetro para permitir o agente de serviço.
Clique em Concluir configuração.
Permitir o endereço de email do gestor de acesso privilegiado
Para contas de email e grupos que recebem notificações por email do Privileged Access Manager, adicione pam-noreply@google.com às suas listas de autorizações para que o email não seja bloqueado.